إضافة السمة nonce إلى عناصر <script>

مع سياسة CSP غير مستندة إلى سياسة CSP، يجب أن يتضمّن كل عنصر <script> السمة nonce التي تتطابق مع القيمة العشوائية غير المحدَّدة في عنوان سياسة أمان المحتوى (CSP) (يمكن أن تحتوي جميع النصوص البرمجية على السمة nonce نفسها). الخطوة الأولى هي إضافة هذه السمات إلى جميع النصوص البرمجية:

تم الحظر بواسطة سياسة أمان المحتوى (CSP)

<script src="/path/to/script.js"></script>
<script>foo()</script>

ستحظر سياسة أمان المحتوى (CSP) هذه النصوص البرمجية لأنّها لا تحتوي على سمات "nonce".

مسموح به من قِبل سياسة أمان المحتوى (CSP)

<script nonce="${NONCE}" src="/path/to/script.js"></script>
<script nonce="${NONCE}">foo()</script>

ستسمح سياسة أمان المحتوى (CSP) بتنفيذ هذه النصوص البرمجية في حال استبدال "${NONCE}" بقيمة تتطابق مع الرقم التعريفي في عنوان استجابة CSP. يُرجى العلم بأنّ بعض المتصفّحات ستخفي السمة "nonce" عند فحص مصدر الصفحة.